Okres przed wejściem w życie rozporządzenia DORA oraz nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza dyrektywę NIS2, to doskonały moment na dokonanie rewizji posiadanych zasobów i strategii w zakresie cyberbezpieczeństwa w organizacji. Te przepisy nakładają nowe obowiązki na firmy, w tym konieczność budowania świadomości osób decyzyjnych na temat zagrożeń cyfrowych i ich potencjalnych skutków. Otwierają również drzwi do dyskusji o koniecznych inwestycjach w narzędzia i rozwiązania wspierające operacyjną odporność cyfrową.
Narzędzia w zakresie ochrony przed atakami DDoS, uwierzytelnienie wieloskładnikowe, systemy zapobiegania utracie danych czy zaawansowane narzędzia jak SIEM, to nie tylko techniczne narzędzia IT, ale też ważne elementy umożliwiające spełnienie wymogów prawnych. W obliczu rosnącej liczby incydentów cyfrowych ich wdrożenie staje się nie tyle opcją, ale koniecznością.
Dlaczego inwestycja w narzędzia bezpieczeństwa danych jest niezbędna?
Każdy z nas widzi na codzień wiele przykładów incydentów bezpieczeństwa. W 2023 roku liczba incydentów cyberbezpieczeństwa w Polsce przekroczyła 80 tysięcy, co stanowiło wzrost o ponad 100% w porównaniu z rokiem poprzednim. Natomiast liczba naruszeń danych w USA do końca trzeciego kwartału 2023 roku wzrosła o 14% w porównaniu z całym rokiem 2022. Średni koszt usunięcia skutków cyberataków sięga nawet 200 000 dolarów. Jest to znaczna kwota, która może zagrozić istnieniu wielu firm.
W obliczu nadchodzących regulacji DORA i NIS2, organizacje muszą pilnie zmodernizować swoje systemy cyberbezpieczeństwa, aby sprostać nowym wymogom prawnym i skutecznie ochronić je przed atakami i rosnącymi zagrożeniami cyfrowymi. Jest to ostatni moment na podjęcie działań mających na celu rozbudowę zdolności w zakresie cyberbezpieczeństwa, zapewnienie bezpieczeństwa systemów informatycznych i nadrobienie wieloletnich zaległości w tym obszarze.
Rosnący dług technologiczny i jego konsekwencje
Dług technologiczny to konsekwencja wieloletnich zaniedbań w inwestycjach technologicznych, w tym również w obszarze bezpieczeństwa IT. Organizacje, które przez lata odkładały modernizację systemów i wdrażanie nowych narzędzi, polegają na starej i niemodernizowanej architekturze, stoją obecnie przed rosnącymi problemami, wymagającymi kosztownych i pilnych działań. W kontekście cyberbezpieczeństwa dług technologiczny prowadzi do zwiększonej podatności na incydenty, które mogą skutkować poważnymi stratami finansowymi i operacyjnymi. Rozwój sztucznej inteligencji w cyberbezpieczeństwie i narzędzi AI nakłada kolejną warstwę zagrożeń, z którymi przestarzałe systemy nie są w stanie sobie poradzić.
Przestarzałe systemy, które nie otrzymują już aktualizacji bezpieczeństwa, są łatwym celem dla cyberprzestępców. Przykładem jest luka EternalBlue, wykorzystana w atakach WannaCry i NotPetya, które spowodowały miliardowe straty. Brak nowoczesnych rozwiązań, takich jak uwierzytelnianie wieloskładnikowe (2FA/MFA) czy narzędzia DLP, zwiększa ryzyko naruszeń danych i wycieków, co dodatkowo obciąża organizacje. Koszty przywrócenia sprawności po incydentach, takich jak ataki ransomware, często przewyższają wcześniejsze wydatki, jakie należałoby ponieść na wdrożenie odpowiednich zabezpieczeń.
Dług technologiczny generuje również zagrożenia strategiczne, szczególnie w obliczu regulacji, takich jak DORA i NIS2, które wymagają spełnienia rozszerzonych standardów bezpieczeństwa. Brak ich realizacji naraża firmy na surowe sankcje oraz spadek zaufania klientów w przypadku naruszeń danych. Tym samym dług technologiczny staje się nie tylko problemem technologicznym, ale także poważnym wyzwaniem finansowym i wizerunkowym.
Zmieniające się regulacje i wymagania zgodności
Nadchodzące regulacje, na czele z DORA i NIS2, znacząco zmieniają krajobraz wymagań wobec organizacji w zakresie cyberbezpieczeństwa. DORA koncentruje się na odporności operacyjnej, nakładając na podmioty finansowe obowiązek wdrożenia kompleksowych procedur i narzędzi, które zapewnią ochronę przed incydentami cyfrowymi oraz ich skuteczne zarządzanie. Z kolei NIS2 rozszerza zakres podmiotów objętych wymogami względem dyrektywy NIS z 2016 roku, nakładając obowiązki w obszarze ochrony infrastruktury krytycznej i dostosowania standardów bezpieczeństwa do aktualnych zagrożeń. Obie regulacje podkreślają konieczność proaktywnego podejścia do cyberzagrożeń i transparentności w raportowaniu incydentów.
Brak zgodności z powyższymi regulacjami może prowadzić do poważnych konsekwencji zarówno prawnych, jak i finansowych. Organizacje, które nie dostosują swoich systemów do nowych wymogów, narażają się na wysokie kary administracyjne, które mogą kosztować firmę między 1%, a 10% rocznego obrotu.
H3 Potencjalne straty finansowe i reputacyjne
Zaniedbania w obszarze cyberbezpieczeństwa niosą za sobą ryzyko nie tylko w postaci kar wynikających z braku zgodności z regulacjami, ale przede wszystkim realnych strat finansowych i nieodwracalnych szkód dla reputacji organizacji. Cyberataki stają się coraz bardziej złożone i destrukcyjne, a skutki ich przeprowadzenia mogą być odczuwalne przez firmę przez wiele lat.
W przypadku ataku ransomware organizacje często muszą płacić okup, aby odzyskać dostęp do zaszyfrowanych danych. Nawet jeśli zdecydują się na odtworzenie systemów z kopii zapasowych, proces ten generuje koszty i przestoje operacyjne. Takie przerwy występują również w przypadku ataków DDoS, które mogą sparaliżować działanie systemów, uniemożliwiając świadczenie usług. Każda godzina przestoju generuje straty, szczególnie w organizacjach, od których wymaga się działania całą dobę, jak np. banki.
Straty finansowe to tylko część problemu, klienci oczekują, że ich dane są bezpieczne, a organizacja, z którą współpracują, spełnia najwyższe standardy cyberbezpieczeństwa. Naruszenie tych oczekiwań prowadzi do: odpływu klientów, utraty przewagi konkurencyjnej, czy też spadku wartości marki. Przykładem takiej sytuacji jest głośny atak na firmę Equifax w 2017 roku, który doprowadził do wycieku danych 143 milionów użytkowników. Firma nie tylko poniosła koszty związane z naprawą skutków incydentu, ale także straciła zaufanie klientów, co przełożyło się na znaczny spadek jej wartości giełdowej.
Dziesięć środków zarządzania ryzykiem w cyberbezpieczeństwie według NIS2
NIS2 wskazuje 10 środków zarządzania ryzykiem, które podmioty kluczowe i ważne muszą wdrożyć w celu ochrony swojego środowiska. Są to:
- polityka analizy ryzyka i bezpieczeństwa systemów informatycznych;
- wykrywanie incydentów i ich obsługa;
- ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, oraz zarządzanie kryzysowe;
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
- podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
- polityki i procedury stosowania kryptografii i w stosownych przypadkach – szyfrowania;
- bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami;
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczone połączenia głosowe, tekstowe i wideo oraz zabezpieczone systemy łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Cztery grupy narzędzi bezpieczeństwa danych według DORA
Dla skutecznego zarządzania ryzykiem ICT konieczne jest wdrożenie narzędzi, które adresują kluczowe obszary bezpieczeństwa danych. DORA w artykule 6 ust. 1 wskazuje, że podmioty finansowe dysponują – jako częścią swojego ogólnego systemu zarządzania ryzykiem – solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej.
Konkretne obszary, w ramach których podmioty finansowe muszą działać, zostały omówione w artykule 9 ust. 4. Te obszary można połączyć w cztery grupy narzędzi. Ten podział pozwala na kompleksowe podejście, zapewniając odpowiednią ochronę zasobów organizacji i zgodność z regulacjami. Poniższe cztery grupy przykładów narzędzi IT odzwierciedlają również większość wymagań wspominanych w poprzednim rozdziale dotyczącym NIS2.
Zarządzanie siecią i infrastrukturą
Zarządzanie siecią i infrastrukturą to podstawowy element ochrony przed zagrożeniami cyfrowymi, obejmujący systemy zapobiegania atakom DDoS, segmentację sieci oraz firewalle i systemy IDS/IPS, czy też SIEM. Systemy DDoS identyfikują i blokują nadmierny ruch sieciowy, chroniąc organizację przed przeciążeniem infrastruktury i przestojami operacyjnymi, które mogą prowadzić do strat finansowych i reputacyjnych. Segmentacja sieci pozwala na podzielenie infrastruktury na izolowane części, co ogranicza możliwość rozprzestrzeniania się ataków i umożliwia precyzyjną ochronę krytycznych zasobów. Z kolei firewalle oraz systemy IDS/IPS monitorują ruch sieciowy, automatycznie wykrywając i blokując nieautoryzowane działania oraz podejrzane aktywności. W efekcie organizacja zyskuje skuteczne narzędzia do minimalizowania skutków ataków oraz ochrony najważniejszych danych i zasobów.
Zarządzanie dostępem
Zarządzanie dostępem do zasobów ICT minimalizuje ryzyko naruszeń danych poprzez ograniczenie dostępu jedynie do uprawnionych osób w niezbędnym zakresie. Systemy zarządzania tożsamością i dostępem (IAM) centralizują nadzór nad uprawnieniami użytkowników, automatyzując procesy ich przyznawania i cofania oraz monitorując działania w czasie rzeczywistym. Polityki oparte na zasadzie najmniejszego przywileju dodatkowo ograniczają możliwości działania w przypadku przejęcia konta przez cyberprzestępcę, a regularne audyty eliminują przestarzałe uprawnienia, wzmacniając ochronę systemów. W tym zakresie ważna jest analiza zachowania użytkowników, a także analiza behawioralna oraz wykrywanie anomalii.
Systemy kontroli dostępu fizycznego chronią kluczowe lokalizacje, takie jak serwerownie, za pomocą technologii kart dostępu, biometrii i kodów PIN. Monitorowanie wejść oraz możliwość audytu pozwalają na szybką identyfikację naruszeń. Integracja zabezpieczeń fizycznych z systemami logicznego zarządzania dostępem zapewnia spójność polityki bezpieczeństwa i kompleksową ochronę zasobów organizacji.
H3 Silne mechanizmy uwierzytelniania i ochrona kluczy kryptograficznych
Silne mechanizmy uwierzytelniania i zarządzanie kluczami kryptograficznymi są podstawowymi elementami ochrony poufności danych i zapobiegania nieautoryzowanemu dostępowi. Uwierzytelnianie wieloskładnikowe (MFA) wymaga potwierdzenia tożsamości za pomocą co najmniej dwóch metod, takich jak hasło oraz kod SMS, co znacząco utrudnia przejęcie konta, nawet w przypadku wycieku danych. Systemy zarządzania kluczami (KMS) zapewniają bezpieczne przechowywanie, dystrybucję i rotację kluczy kryptograficznych, automatyzując procesy i minimalizując ryzyko błędów ludzkich, co stanowi fundament ochrony szyfrowanej komunikacji.
Szyfrowanie danych w spoczynku i w transmisji zabezpiecza informacje przed nieautoryzowanym odczytem zarówno podczas przechowywania, jak i przesyłania. Wdrażanie technik szyfrowania zgodnych z branżowymi standardami pozwala organizacjom spełniać wymogi regulacyjne oraz minimalizować ryzyko naruszenia poufności danych.
Zarządzanie zmianą, poprawkami i aktualizacjami
Zarządzanie zmianą, poprawkami i aktualizacjami w systemach ICT to proces zapewniający eliminację luk w zabezpieczeniach oraz utrzymanie stabilności systemów. Automatyczne systemy zarządzania poprawkami (Patch Management) monitorują dostępność aktualizacji i wdrażają je zgodnie z harmonogramem, co pozwala szybko eliminować znane podatności, zanim zostaną wykorzystane przez cyberprzestępców. Regularne aktualizacje poprawiają nie tylko bezpieczeństwo, ale także ogólną niezawodność systemów.
Systemy zarządzania konfiguracją i procesy testowania zmian gwarantują kontrolę nad modyfikacjami infrastruktury ICT. Dokumentowanie i wdrażanie zmian zgodnie z procedurami minimalizuje ryzyko błędów, a możliwość przywrócenia wcześniejszych ustawień zwiększa odporność systemów na awarie. Testowanie odporności i formalne zatwierdzanie zmian w kontrolowanym środowisku pomaga uniknąć nowych luk w zabezpieczeniach, a jednocześnie umożliwia przeprowadzanie audytów w przypadku incydentów bezpieczeństwa.
Jak uzasadnić zarządowi inwestycję w narzędzia bezpieczeństwa danych?
Inwestycje w narzędzia bezpieczeństwo sieci i danych w nich zawartych oraz nadrabianie długu technologicznego w tym zakresie to konieczność, która wynika z narastającej liczby zagrożeń cyfrowych oraz coraz bardziej rygorystycznych regulacji, takich jak DORA i NIS2. Przykłady realnych incydentów, jak wyciek z Equifax, pokazują skalę potencjalnych strat – od wielomilionowych kosztów po zakłócenia operacyjne i utratę zaufania klientów. Dla najważniejszych podmiotów w gospodarce, gdzie relacje opierają się na zaufaniu, konsekwencje mogą być szczególnie dotkliwe. Brak działań naraża firmę na kary finansowe, utratę reputacji, a nawet ryzyko odebrania licencji operacyjnej.
Zarząd ma kluczową rolę w zapewnieniu operacyjnej odporności cyfrowej organizacji i ponosi pełną odpowiedzialność za decyzje związane z cyberbezpieczeństwem, co jest wprost wskazane w artykule 20 ust. 1 NIS2, czy też artykule 5 ust. 2 a) DORA. Oprócz ochrony firmy przed zagrożeniami technicznymi, inwestycje te zabezpieczają również osoby zarządzające przed potencjalną odpowiedzialnością prawną wynikającą z zaniedbań. Cyberbezpieczeństwo to nie tylko technologia, ale także odpowiednia strategia zarządzania ryzykiem oraz polityki i procedury, które są niezbędne do spełnienia wymogów regulacyjnych.
Dostosowanie organizacji do wymagań NIS2 może być skomplikowane i czasochłonne, zwłaszcza przy próbie samodzielnego wdrożenia odpowiednich procedur i narzędzi. Z pomocą przychodzi narzędzie Red Into Green, które może stanowić centralny punkt zarządzania ryzykiem i dostosowania do regulacji. Dzięki 9 krokom podzielonym na 3 etapy, organizacja może skutecznie wdrożyć niezbędne działania, eliminując trudności i minimalizując ryzyko błędów. Red Into Green pomaga przekształcić wymogi regulacyjne w klarowny i praktyczny plan, który zwiększy odporność cyfrową firmy.
